У популярному архіваторі 7-Zip, який зловмисники вже використовують у реальних атаках, виявлено небезпечну уразливість. Про це повідомляє NHS England Digital, закликаючи користувачів якнайшвидше перевірити свою версію програми, особливо на комп’ютерах з Windows.
Проблема отримала ідентифікатор CVE-2025-11001 і оцінку вразливості CVSS 7,0. Це відбувається через неправильну обробку символьних посилань у архівах ZIP, що дозволяє створити архів таким чином, щоб отримати доступ до файлів за межами дозволених каталогів. За словами експертів Zero Day Initiative, така атака може призвести до виконання довільних команд з правами сервісного облікового запису.
Уразливість була усунена в 7-Zip версії 25.00, випущеної в липні 2025 року. У цьому ж оновленні розробники виправили ще одну схожу проблему – CVE-2025-11002, також пов'язану з обробкою символічних посилань. Обидві помилки були присутні у версіях, починаючи з 21.02.
Баг виявили фахівці GMO Flatt Security за участю AI-аудитора Такумі, після чого розробники були повідомлені. NHS England Digital підтверджує, що вже повідомлялося про експлойти CVE-2025-11001, хоча подробиці атак та їхні цілі не розголошуються. Відомо, що експлойти PoC є загальнодоступними.
Користувачам рекомендується оновити 7-Zip до версії 25.00 або новішої.
Джерело
